Maze ransomware now encrypts via virtual machines to evade detection

Maze Ransomware ใช้เทคนิคการซ่อนตัวใหม่โดยใช้ VM

Peter Mackenzie นักวิจัยจาก SophosLabs ได้เปิดเผยถึงผู้ปฏิบัติการ Maze ransomware ใช้ในการหลบหลีกการตรวจจับโดยการเข้ารหัสไฟล์จาก VM ที่แชร์ไฟล์กับโฮสต์ โดยเทคนิคนี้เคยถูกใช้โดย Ragnar Locker ransomware มาก่อน
เมื่อเดือนพฤษภาคม 2020 ที่ผ่านมาพบ Ragnar Locker ransomware ทำการติดตั้ง VM ของ Windows XP จากนั้นใช้ประโยชน์จากคุณสมบัติของ VirtualBox ที่ทำให้ VM สามารถ mount เพื่อแชร์โฟลเดอร์และไดรฟ์ในเครือข่ายกับโฮสต์ได้ ซึ่งเมื่อรัน ransomware ใน VM ก็จะ
สามารถเเพร่กระจายเข้าไปยังโฮสต์ได้

ในปัจจุบัน นักวิจัยจาก SophosLabs ออกมาเปิดเผยว่าพบการใช้เทคนิคแบบเดียวกันโดยผู้ปฏิบัติการ Maze ransomware ซึ่งได้ทำการติดตั้งซอฟต์แวร์ VirtualBox ที่มาพร้อมกับ VM Windows 7 บนเซิร์ฟเวอร์ของเหยื่อ และเมื่อเครื่อง VM ทำงานจะทำการเรียกไฟล์ batch ที่ชื่อ startup_vrun.

Read more

Android Malware in QR Reader apps on Play Store downloaded 500k times

นักวิจัยด้านความปลอดภัยของ SophosLabs ได้ค้นพบมัลแวร์แอนดรอยด์ตัวใหม่ในแอปพลิเคชัน QR reader หลายรายการบน Google Play Store ที่ถูกพัฒนาขึ้นเพื่อคอยแสดงโฆษณาเป็นจำนวนมากแก่ผู้ใช้งาน สร้างรายได้เป็นจำนวนมากให้แก่ผู้ประสงค์ร้าย

มัลแวร์บนแอนดรอดย์ดังกล่าวนั้นถูกระบุในชื่อสายพันธุ์ Andr/HiddnAd-AJ โดยพบมัลแวร์ประเภทดังกล่าวในแอปอ่าน QR code จำนวน 6 แอป และในแอปพลิเคชัน Smart compass อีกหนึ่งแอป การทำงานของมัลแวร์ตัวนี้เมื่อถูกติดตั้งในอุปกรณ์แล้วจะมีการรอถึง 6 ชั่วโมงก่อนจะเริ่มสแปมอุปกรณ์ด้วยโฆษณาและส่งการแจ้งเตือนลิงค์โฆษณาเข้ามา

มีการรายงานไปยัง Google และดำเนินการลบแอปพลิเคชันที่ติดมัลแวร์ออกเรียบร้อยแล้ว แต่คาดว่ามีผู้ใช้แอปบางส่วนได้ดาวน์โหลดไปแล้วกว่า 500,000 ครั้ง

ที่มา:hackread

Read more